Das Bugfix-Release behebt eine SQL-Injection-Schwachstelle im Backend sowie im Listing-Bundle.

Das Problem betrifft Contao 3.0.0 bis 3.5.30 und Contao 4.0.0 bis 4.4.7.

Die Schwachstelle befindet sich sowohl im Suchfilter im Backend als auch im Modul "Auflisting" im Frontend. Um die Lücke im Backend auszunutzen, bedarf es eines angemeldeten Benutzers; die Lücke im Frontend kann hingegen von jedermann ausgenutzt werden.

Das Update wird dringend empfohlen, insbesondere wenn das Listing-Bundle verwendet wird.

News auf contao.org

Download auf contao.org